2018-05-17 5 Minuten

Was ich durch die DSGVO lernen durfte

Wer in letzter Zeit mit mir zu tun hatte, dem werde ich es wahrscheinlich schon proaktiv mitgeteilt haben: Als IT-Dienstleister ist die DSGVO eine sch…wierige Geschichte.

Aber – und da kommen meine Ideale als Netzbürger zum Vorschein – für Konsumenten empfinde ich das Ding schon als einen riesigen Schritt nach vorne.

Alleine dass die gesamte Werbe-Tracking Industrie um ihr Überleben fürchtet, kann für mich als Nutzer meiner Meinung nach nur positiv sein. Auch, wenn ich dann Werbung für Rasenmäher kriege, obwohl ich keinen brauche (oder schon gekauft habe). Das nehme ich in Kauf.

Zum Raunzen gibt es aber auch genug. Hier ein kleines subjektives Opinion Piece zur DSGVO.

Dass die IP-Adresse ein personenbezogenes Datum ist, finde ich eine Übertreibung

Ohne IP-Adressen funktioniert das gesamte Internet, ja unsere gesamte Gesellschaft, nicht. Die IP wird dazu verwendet, einzelne Rechner, Geräte oder Netzwerke zu identifizieren.

Und ja, mit genügend anderen Informationen kann man die IP-Adresse einer Person zuordnen. Im Prinzip ist die IP also personenbezogen.

Aber: nein, diese Informationen habe ich als Blogger oder (kleines) Unternehmen im Normalfall nicht.

Mit meiner aktuellen IP komme ich maximal so weit:

  1. Bin ich bei T-Mobile
  2. Bin ich gerade nicht in Salzburg

Wollte ich von dieser IP auf mich selbst schließen, müsste ich diese Info kombinieren.

Und zwar mit anderen Daten:

  • Die Daten eines Internetanbieters (in diesem Fall T-Mobile)
  • Die Daten von z.B. einem Loginvorgang, User Account oder Ähnlichem zu vergleichen

In beiden Fällen habe ich sowieso schon andere Informationen über die Person, als die IP-Adresse.

Warum ich hier so anti bin?

Eine meiner Webseiten lädt eine externe Code-Bibliothek von z.B. jquery.org. Das ist ein sogenanntes Content Delivery Network (CDN). Die stellen häufig verwendete Bibliotheken extrem performant zur Verfügung.

Und das ist im Webdevelopment (noch) ganz normal.

Update: Noch absurder wird es bei Emojis. Diese werden von WordPress-Servern geladen. Heißt: Vertrag mit WordPress schließen, oder das Exerne Laden von Emojis ausbauen.

Das einzige, was jquery.org in ihren Servern sieht (Beispiel, ich habe nicht wirklich Zugriff auf deren Logs) ist das:

91.130.98.86 – – [23/Apr/2018:00:00:00 +0200] „GET form-serialize/0.3/serialize.min.js HTTP/1.1“ 206 65536 „https://martinhaunschmid.com/“ „Mozilla/5.0 (iPhone; CPU iPhone OS 9_3_3 like Mac OS X) AppleWebKit/601.1.46 (KHTML, like Gecko) Version/9.0 Mobile/13G34 Safari/601.1“ „martinhaunschmid.com“

Der CDN hat ohne externe Datenquellen keine Chance, zu wissen, wer das ist.

Ich maße mich nicht an (oder zumindest nur ein wenig), es besser zu wissen, aber eine Unterscheidung zwischen

  • Pseudonymem Zugriff, bei dem ohne zusätzliche (unternehmensexterne) Infos keine Person ausfindig gemacht werden kann und
  • Das Unternehmen hat selbst die Möglichkeit bzw. die Daten, die Person zuzuordnen

fände ich vor Allem für Webseitenbetreiber sinnvoll.

Aber gut:

Wirklich. Change my mind. Kommentiere, wenn du anderer Meinung bist!

Diese IP-Adressen-Regelung hat im Web-Umfeld schwerwiegende Auswirkungen: von nicht mehr möglichen Abgleichen mit einer Spam-Datenbank bis zur Security:

Webseiten-Security wird schwieriger

Alle bekannten Security-Plugins und DDOS-Beschützer protokollieren / sperren / analysieren Angriffe auf Basis der IP-Adresse.

Wird hier also der Datenschutz ernst genommen (also keine IP protokolliert oder verwendet), kann eventuell erst zu spät ein Hacker/Adversary identifiziert werden. Oder nicht einmal vermeintlich unzusammenhängende Aktionen richtig in Bezug gesetzt werden.

Hier widerspricht sich die DSGVO sogar ein wenig selbst: Wie soll ich einen Hack von Kundendaten (Data Breach) richtig analysieren, wenn ich nicht herausfinden kann, von wo (IP-Adresse) der Angriff kam oder wie der Gegner ins System kam. Die forensische Analyse von Website-Hacks basiert größtenteils auf den access-logs, in denen die Webserver-Zugriffe mit IP-Adresse verzeichnet sind.

Hier wird sich aber erst zeigen, wie weit das berechtigte Interesse IT-Sicherheit gehen wird.

Wie viele Werbetracker sind eigentlich in Webseiten eingebaut!?

Das war eines der überraschendsten Moment in meinen Vorbereitungen: wie viele Daten denn wirklich überall mitprotokolliert werden:

  • Youtube Video eingebettet? Dürfen es 4 Tracker extra sein?
  • Social Sharing Plugin? TRACK ALL THE THINGS!

Ich selbst baue meine Webseiten mit so wenig externen Plugins/Ressourcen wie möglich, habe hier also weniger Probleme.

Dennoch habe ich nicht schlecht gestaunt, als auf einer Webseite eines Kunden 10 Tracker automatisch mitgeladen wurden. Der Bösewicht? Das Plugin “AddThis” für Social Share Buttons unter Blogartikeln.

Neben den ganzen CDN- und Security-Geschichten hat hier die DSGVO eindeutig positive Auswirkungen:

Das Bewusstsein, wie viele Spione man sich eigentlich auf die eigene Webseite holt, nur weil man ein scheiß GIF eingebettet hat.

Sogar Fonts sind böse

Ich habe das Gefühl, als hätte ich die gesamte letzte Woche nur irgendwelche Fonts lokal (=von der Webseite selbst) eingebunden, anstatt sie über Google Fonts zu laden.

Warum?

Auch das Laden einer externen Font (auch das ist im Webdevelopment üblich) gibt die IP-Adresse des Users an den Font-Anbieter.

Nur: im Gegensatz zu einem “simplen” CDN haben sowohl Google (Google Fonts) als auch Adobe (Typekit) sowohl die Kapazität, als auch die Daten, aus z.B. einer IP-Adresse auf die Person zu schließen.

Plötzlich schert sich jeder um Datenschutz

Vielleicht habt ihr sie schon gekriegt (eventuell sogar von mir 😅):

Die “wir wollen deine Daten weiterhin verwenden”-Mail. Da wird man sich erst bewusst, wo überall die eigenen Kontaktdaten herumgurken. Von der Bewerbung vor 8 Jahren bis zu irgendeinem Kontakt auf einer Messe.

Ich selbst bin keine Ausnahme: die letzten Jahre habe ich auf ein Single-Opt-In gesetzt und muss nun all meine Kontakte neu bestätigen.

Da bin ich wirklich froh, diesen Blog gestartet zu haben, und nicht mehr zu 100% von meiner E-Mail Liste abhängig zu sein.

Aber auch hier: eine sehr positive Entwicklung insgesamt. Wir merken uns einfach nicht, wo wir überall registriert sind. Die Welle an E-Mails ruft uns kollektiv wieder einmal ins Gedächtnis, wie sorglos wir eigentlich mit unseren Daten umgehen.

Fazit

Zwei Seelen wohnen, ach! In meiner Brust

– Ich, im Moment

Zwischen insgesamt positiven Auswirkungen für Konsumenten (und auch auf mein zukünftiges IT-Security Business) und Frust über (unnötig scharfe?) Regelungen in Bezug auf IP-Adressen finde ich die DSGVO eigentlich ein relativ gelungenes Paket.

Es fließen gerade alle Stunden, die ich habe in dieses Thema (wobei ich viel lieber hacken lernen würde). Aber gegen das Wetter kann man eben nicht Klavier spielen.

Am 25. Mai werde ich gut vorbereitet sein. Dann werden wir sehen ob Pandoras Box geöffnet wird und jeder jeden verklagt.

Oder ob es ein großer Schritt in die richtige Richtung ist.

Wetten würde ich mich nicht trauen.

Von Hackern, Wordpress, SEO & Co

  • Wo kommt mein Spam her?
  • Wie leicht ist es, eine Wordpress Seite zu hacken?
  • Wie Umzugsfirmen ihre Gaunereien mit SEO umsetzen

...wöchentlich in deiner Inbox! 🚀

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.